Ansible下的机密文件管理

最新推荐文章于 2024-08-26 23:08:31 发布
最新推荐文章于 2024-08-26 23:08:31 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: ansible 运维 LINUX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41056224/article/details/105458098
版权

1、为什么要加密

当在使用ansible时,会涉及到一些敏感性的文件的操作,但实际需求中,我们并不希望ansible的用户可以对该文件进行查看,故需要对一些文件在ansible的使用过程中加密,以保证系统资料的安全性

2、如何加密

ansible中的加密工具:ansible-vualt

加密方式:ansible-vualt使用的加密方式是在python中集成的,而非自己的加密方式。

2.1 创建加密文件:

#创建加密文件,产生新文件

[root@contral min]# ansible-vault create secret.yml
New Vault password:                    ##输入该加密文件的密码
Confirm New Vault password: 

#创建加密文件的同时,将密码保存

[root@contral min]# cat serpass  ##用文件进行加密时,需将密码提前写入
linux
[root@contral min]# ansible-vault create --vault-password-file=serpass secretp.yml

【注】用问价加密时,文件中的字符串均为加密密码

2.2 对原有文件进行加密:

#对现有文件加密
[root@contral min]# ll
total 12
-rw-r--r--. 1 root root   0 Apr 12 03:04 new_file.yml  ##对该文件加密
-rw-------. 1 root root 355 Apr 12 02:46 secretp.yml
-rw-------. 1 root root 355 Apr 12 02:43 secret.yml
-rw-r--r--. 1 root root   6 Apr 12 02:46 serpass
[root@contral min]# ansible-vault encrypt new_file.yml  ##加密
New Vault password: 
Confirm New Vault password: 
Encryption successful
[root@contral min]#

可以同时对多个现有文件加密

#对多个文件进行加密
[root@contral min]# ansible-vault encrypt file1 file2  ##加密file1 file2

#通过加密文件,对其进行加密
[root@contral min]# ansible-vault  encrypt old_file.ymml file.yml --vault-password-file=secpass
 Encryption successful  ##此时两个问价密码相同

3、编辑加密文件(edit)

加密文件的编辑原理:在加密时,打开编辑器,会临时创建新的文本,当编辑完该文本后,系统会自动将该文本内容追加到加密文本下,并删除临时创建的文本,达到加密的目的。

#编辑加密文本
[root@contral min]# ansible-vault view old_file.ymml 
Vault password:               ##输入密码通过认证

4、查看加密文件(view)

当使用普通文件查看时,是一堆乱码,只有使用正确的查看方式,通过认证,才可查看文件内容,

#查看加密文件
[root@contral min]# ansible-vault view old_file.ymml  
Vault password:                       ##进行认证
this is a secert file

#普通方式查看
[root@contral min]# cat old_file.ymml 
$ANSIBLE_VAULT;1.1;AES256
34393265393666326337393363336639643861316565333334313232393533303735386339626465
3439326439626165666638363030613235633763326638300a633964663561366464633134663766
63653765326535646464303933636531653362646264353934383030643538333531613135346230
3536326364313962340a646230633230396634653864633834613332653434383761373463383837
32636530323534656463643332336564346432366130646234373162393761646235

5、密码更新(rekey)

5.1 直接更新

#通过交互式界面更新
[root@contral min]# ansible-vault rekey old_file.ymml  ##一次性可更新多个文件
Vault password:                ##输入原密码
New Vault password:            ##两次更新新密码
Confirm New Vault password: 
Rekey successful               ##完成更新

 【注】虽然一次性可更新多个文件,但要求多文件密码必须相同,否则不能通过认证并更新。

5.2 通过文件更新

#通过文件进行密码更新
[root@contral min]# ansible-vault rekey --new-vault-password-file=secpass old_file.ymml 
Vault password:    ##输入原始认证密码
Rekey successful

 【注】文件中的字符全为密码,且同时可更新多个原密码相同文件

6、加密文件的使用

6.1 提供交互式的使用方式(--vault-id @prompt)

#playbook加密时,未输入密码
[root@contral secert]#ansible-playbook user.yml 
ERROR! Attempting to decrypt but no vault secrets found

#playbook加密时,输入错误密码
[root@contral secert]# ansible-playbook --vault-id @prompt user.yml 
Vault password (default): 
ERROR! Decryption failed (no vault secrets were found that could decrypt) on /etc/ansible/secert/user.yml

#playbook加密时,输入密码,通过认证
[root@contral secert]# ansible-playbook --vault-id @prompt user.yml 
Vault password (default): 

PLAY [Configure User] *****************************************************************

TASK [Gathering Facts] ****************************************************************
ok: [servera.linux.com]
....

6.2 提供自动询问方式 (--vault-password-file=passwordfile)

#通过文件的方式进行认证
[root@contral secert]# ansible-playbook --vault-password-file=passwd user.yml 

PLAY [Configure User] *****************************************************************

TASK [Gathering Facts] ****************************************************************
ok: [servera.linux.com]

TASK [Linux user] *********************************************************************
ok: [servera.linux.com]

....

7、解密(decrypt)

#对加密文件解密
[root@contral secert]# ansible-vault decrypt user.yml 
Vault password:        ##输入认证
Decryption successful
[root@contral secert]# cat user.yml 
---
- name: Configure User
  hosts: servera.linux.com      
  tasks:
    - name: Linux user
      user:
        name: linux
        uid: 1000
        state: present
...

解密时可保留原文件,并进行文件更名输出

#查看原加密文件
[root@contral secert]# cat sec.yml 
$ANSIBLE_VAULT;1.1;AES256
64376331643766343164666266626539633961643135623234613235353765393838623765316363
3066613232383365366539623930326561326663643733340a333664363866636434393237616136
65333231616662643631656663343732343764386332316133663965646131396562313566636139
3863623737306461310a626537623332306335373636353539653135633465323330393365666135
6237

#解密文件,并重定向输出
[root@contral secert]# ansible-vault decrypt sec.yml --output=nopasswd
Vault password:        #密码认证
Decryption successful

#查看解密文件
[root@contral secert]# cat nopasswd 
asfawsfa

对于我们保存的密码文件,可以通过权限设置使其对普通用户不开放,从而提高安全性

机密和事实
Op_Wa的博客
07-26 230
机密 创建加密文件 创建加密文件,事先不存在(create) //创建 [root@192 group_vars]# ansible-vault create group_vars/apache New Vault password: Confirm New Vault password: [WARNING]: group_vars does not exist, creating... //查看 [root@192 group_vars]# ansible-vault view group_v
Ansible的管理变量、机密和事实
Gf19991225的博客
07-22 671
管理变量、机密和事实 1.管理变量 1.1Ansible变量简介 1.1.1 1.1.2 1.12 定义变量 1.2.1 1.2.2 1.3 主机变量和组变量 1.3.1 1.4 从命令行覆盖变量 1.5 使用数组作为变量 1.6 使用已注册变量捕获命令输出 2.管理机密 2.1 Ansible Vault 2.1.1 创建加密的文件 2.1.2 查看加密的文件 2.1.3 编辑现有的加密文件 2.1.4 加密现有的文件 2.1.5 解密现有的文件 2.1.6 更加加密文件的密码 2.2
Ansible(4) Ansible-playbook加密
didi_758758的博客
04-13 540
怕playbooks中有敏感信息可以对yaml文件进行加密 这是我们httpd.yaml的信息 [root@ansible ~]# cat httpd.yml - hosts: clienthosts remote_user: root tasks: - name: yum install httpd yum: name=httpd state=latest -...
ansible加密
2301_77081516的博客
12-27 1524
本章主要介绍如何对ansible中的playbook 进行加密。
管理变量、机密和事实
多回访
07-23 576
管理变量、机密和事实管理变量1、Ansible变量简介2、命名变量3、定义变量4、playbook中的变量5、主机变量和组变量使用目录填充主机和组变量6、从命令行覆盖变量7、使用数组作为变量8、使用已注册变量捕获命令输出 管理变量 1、Ansible变量简介 Ansible支持利用变量来存储值,并在Ansible项目的所有文件中重复使用这些值。这可以简化项目的创建和维护,并减少错误的数量。 通过变量,可以轻松地在Ansible项目中管理给定环境的动态值。例如,变量可能包含下面这些值: 要创建的用户 要安装
ansible管理机密、事实
weixiaoya0204的博客
07-25 350
目录一、管理机密1、什么是Ansible Vault2、使用ansible-vault创建加密文件 一、管理机密 1、什么是Ansible Vault Ansible提供的Ansible Vault可以加密和解密任何由Ansible使用的结构化数据文件 若要使用Ansible Vault,可通过一个名为ansible-vault的命令行工具创建、编辑、加密、解密和查看文件 Ansible Vault可以加密任何由Ansible使用的结构化数据文件。 包括清单变量、playbook中含有的变量文件、以及在执行
Ansible变量与加密管理
时羽天的博客
10-28 909
Ansible变量与加密管理
一篇精通Ansible之playbook
最新发布
huaz_md的博客
08-26 1199
Ansible中,playbooks剧本)是用来定义一系列task任务的文件,可以实现自动化部署、配置和管理服务器等操作本文主要介绍playbook剧本的组成以及编写playbook在ansible中,和hosts文件是ansible的默认配置文件,如果在当前目录运行ansible指令的时候,当前目录下有或hosts文件,就会加载当前目录的。如果当前目录下没有或hosts文件,ansible就会加载或文件when中的变量不用{{ }}包裹debug中var参数的变量不用{{ }}包裹.j2。
Ansible加密和解密的使用 (2).docx
08-05
在使用 Ansible 时,存在一些敏感的信息不易暴露的情况,因此需要加密存储机密的文件,在执行的时候加解密。Ansible 提供了两种方式来存储这类数据: 1. 使用 Ansible 的命令行工具 Ansible-Vault,可以加密和解密...
Grub Rescue修复方法
菜鸟の轨迹
03-23 2355
症状: 开机显示:GRUB loading error:unknow filesystem grub rescue> 原因: 已经发现下面几种操作会导致这种问题: 1,想删除ubuntu,于是直接在windows下删除/格式化了ubuntu所在的分区。 2,调整磁盘,利用工具合并/分割/调整/删除分区,使磁盘分区数目发生了变化。 3,重新安装系统,把linux安装到了新
ansible-playbook-vault-dynamic-secrets:显示保险柜中的动态机密如何工作
04-16
Vault Dynamic Secrets演示 显示保险柜中的动态机密如何工作。 概述 此设置包括: 1台运行Vault的计算机。 2台机器运行MySQL。 要求 将Digital Ocean API密钥保存在环境变量TF_VAR_do_token 。 安装了Terraform。 安装了Ansible。 准备 下载Ansible角色: anible-galaxy install -r roles/requirements.yml -f 现在,您可以启动机器并对其进行配置: ./playbook.yml 示范 登录到保管库计算机 cd terraform ; terraform output 设置环境 export VAULT_IP=w.x.y.z export MYSQL_IP=v.w.x.y export VAULT_ADDR=http:// ${VAULT_IP} :82
ansible中的机密、事实、循环
Xiaoajie55的博客
07-26 264
一、管理机密 1 创建加密的文件 要创建新的加密文件,可使用ansible-vault create filename命令。该命令将提示输入新的vault密码,然后利用默认编辑器vi打开文件。我们可以设置和导出EDITOR环境变量,通过设置和导出指定其他默认编辑器。例如,若要将默认编辑器设为nano,可设置为export EDITOR=nano。 [root@marter lamp]# ansible-vault create secret.yml New Vault password: 123456
Ansible 加密模块 Vault
changqixiu9295的博客
08-25 1572
ansible-vault 只要用于配置文件加密,可以加密或解密,具体使用方式如下: Usage: ansible-vault [create|decrypt|edit|encrypt|encrypt_string|rekey|view] [options] [vaultfile.yml] 可以看到有很多子命令: create: 创建一个新文件,并直接对其进行加密 decrypt: 解密文件 e...
06 管理机密、事实和循环
minyao
07-25 556
管理机密、事实和循环 文章目录管理机密、事实和循环1. 管理机密1.1 ansible vault1.2 创建加密的文件 1. 管理机密 1.1 ansible vault ansible可能需要访问密码或apl密钥等敏感数据,以便能配置受管主机,通常,此信息可能以纯文本形式存储于清单变量或其他ansible文件中,但,任何有权访问ansible文件的用户都能访问到,存在安全风险 ansible提供得ansible vault可以解密加密任何由ansible使用得结构化数据文件。若要使用ansible-v
ansible 管理机密
mushuangpanny的博客
06-02 216
3. 编辑现有的加密文件 要编辑现有的加密文件,Ansible Vault提供了ansible-vault edit filename命令。此命令将文件解密为一个临时文件,并允许编辑。保存时,它将复制其内容并删除临时文件。 edit子命令始终重写文件,因此只应在进行更改时使用它。要查看文件的内容而不进行更改时,应使用view子命令 4. 加密现有的文件 5. 解密现有的文件 6. 更改加密文件的密码 7. playbook和ansible vault 要为playbook提供vault
ansible其他系统命令
weixin_42645775的博客
02-14 892
其实除了我们常用的ansibleansible-playbook等命令外,还有其他能够提升我们工作效率的系统命令 ansible-galaxy   ansible-galaxy 连接https://galaxy.ansible.com/ 下载相应的roles https://galaxy.ansible.com/ 这上面有很多的ansible爱好者和好心人上传...
Ansible保险库查找模块的机密存储与自动化
Ansible是一个开源的IT自动化工具,其主要设计目的是简化应用程序部署、系统更新和配置管理的过程。Ansible由迈克尔·德·蒂希(Michael DeHaan)创建,目前由Red Hat公司维护。它允许用户通过编写YAML格式的剧本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值